Windows Server Update Services (WSUS): настройка. WSUS Offline Update

Огромное количество обновлений — источник головной боли. Наиболее актуальный дистрибутив сервера, так называемый «Update2», в который интегрированы обновления по ноябрь 2014 года, безнадежно устарел. Установив с него операционную систему, вы получите вдогонку еще 200+ обновлений, которые будут устанавливаться 2–4 часа.

Комментарии (

  • D1abloRUS

    23 августа 2016 в 15:10

    Можно сжать в .esd. Но нужен инсталятор от 8.1 и выше, но помнится, после вливания патчей, были ошибки во время установки. Хотя оригинальные образы, как раз в этом формате.

    • gotch

      23 августа 2016 в 15:26

      Каков рецепт превращения wim в esd? Что-то экспорт через DISM не дал результата, это только для Windows 10/ Server 2016?

      • D1abloRUS

        23 августа 2016 в 15:34

        как то такdism /Export-Image /SourceImageFile:».\» /SourceIndex:1 /DestinationImageFile:».\» /Compress:recovery

  • navion

    23 августа 2016 в 15:20

    Про текущую модель обновлений есть отличная статья: Updated Windows Updating/Servicing Guidance (from Ignite 2015)

    • gotch

      23 августа 2016 в 15:38

      Ой, да там вранье через until December 2014, Windows 8x/2012x had «monthly rollups». At least for now, no more monthly rollups. Раз роллап KB3156418, два роллап 3161606. Упс! Мы забыли, что у нас нет больше месячных роллапов. Значит включим их в 3172614, но не будем писать какие фиксы в нем внутри. Потом выпустим 3179574. А тут уже и октябрьский мега-роллап скоро придет.

  • ildarz

    23 августа 2016 в 16:28

    +1

    По мне так проще поставить MDT и держать референсную виртуалку, с которой захватывать обновленный образ. И удобнее, и инсталлятор не так распухает. Но есть нюанс — запихнуть в один образ все редакции не получится (или, по крайней мере, официально не поддерживается, шаманить не пробовал).

    > oscdimg… -bD:\WS2012R2\ISO\BOOT\

    UEFI не используете? 🙂 А зря. По-хорошему надо как-то так:

    oscdimg… -bootdata:2#p0, e, b[Путь]\boot\#pEF, e, b[Путь]\efi\microsoft\boot\

    Ну и использовать UDF (-u2 вместо -n).

    • gotch

      23 августа 2016 в 16:44

      Спасибо за ваш комментарий про EFI, про него совсем забыл. Сейчас попробую исправиться.

      Образы это тоже жизнь, полная нюансов, то WsusID сотри, то еще что-то. Между двух огней.

  • artemlight

    23 августа 2016 в 16:45

    MDT, MDT, MDT, MDT, MDT.

    раз в неделю перестраиваются образы для всех ОС, доступных по Software Assurance (windows 7\8\10, 2008\2012R2), сиспрепятся, пакуются в вим и заливаются на шару. Оттуда по DFS расползаются на региональные WDSы.

    • gotch

      23 августа 2016 в 16:54

      Артем, вы бесспорно делаете все правильно, не поспоришь. Но и Microsoft не спроста «рефрешит» дистрибутивы?

      Не могли бы вы как-нибудь поделиться подробностями вашего процесса, наверняка по граблям-то тоже достаточно походили?

Конфигурирование WSUS SP2

1) Запускается мастер конфигурирования WSUS

2) Предложение принять участие в программе улучшение качества Центра обновления Microsoft

3) Настройка выше стоящего сервера для синхронизации содержимого.

Т.к. это первый сервер мы можем синхронизировать его с центром обновления Microsoft.

4) Далее настраиваем прокси-сервер для выхода в интернет.

5) Установка соединения.

7) Выбор языков загружаемых обновлений.

8) Выбор обновлений, которые нужно загружать на сервер, для последующей установки их на клиентские компьютеры. Обновления, выбранных программных продуктов будут загружены на наш сервер WSUS.

9) Выбор классов для синхронизации , существует 9 классов обновлений:

— Драйверы — Программный компонент, предназначенный для поддержки нового оборудования.

— Критические обновления — Широко распространяемое исправление для специальной проблемы, обусловленной критической ошибкой, которая не связана с проблемой безопасности.

— Накопительные обновления — накопительный набор исправлений, обновления безопасности, критические обновления, упакованные обновления вместе, для упрощения развертывания. Накопительные обновления направлены на конкретные области, такие как «Безопасность» или компонентов продуктов, таких как «IIS».

— Обновления определений — Широко распространяемые и часто выходящие обновления программного обеспечения, содержащие дополнения к базе определений продукта. Базы данных определений обычно используются для обнаружения объектов со специальными атрибутами, таких как программы, написанные злоумышленниками, Web-узлы созданные для несанкционированного получения закрытых данных, или нежелательная электронная почта.

— Обновления системы безопасности — Широко распространяемое исправление проблемы безопасности в определенном продукте.

— Обновления — Широко распространяемое исправление для специальной проблемы, обусловленной некритической ошибкой , которая не связана с проблемой безопасности.

— Пакеты новых функций — Выпуск новых функций, которые обычно включаются в следующую версию продукта.

— Пакеты обновления — накопительный набор исправлений, обновлений безопасности, критических обновлений, исправлений дефектов продукции найденных в продукте с момента его выпуска. Пакеты также могут содержать ограниченное число клиентов запрашивающих конструктивные изменения или особенности.

— Средства — Программа или функция, помогающая в выполнении одной задачи или набора задач.

Было принято решение выбрать все классы т.к. неизвестно какие классы обновлений нам понадобятся в будущем.

10) Настройка автоматической синхронизации.

Было принято решение синхронизировать обновления 1 раз в день. в 8:00 утра.

11) Завершение первоначальной настройки сервера.

12) Рекомендации по интеграции WSUS в сферу IT.

Описание рекомендаций.

1 Использование SSL с WSUS — Для защиты развернутой копии WSUS можно использовать протокол SSL. Использование SSL позволяет клиентским компьютерам и подчиненным серверам WSUS производить проверку подлинности сервера WSUS. Протокол SSL также используется WSUS для шифрования метаданных (сведений об обновлениях), которыми обмениваются клиенты и подчиненные серверы WSUS. Следует отметить, что протокол SSL используется WSUS только для защиты метаданных, но не содержимого (самих файлов обновлений). Этот способ также используется Центром обновления Майкрософт для распространения обновлений.

2 Создание группы компьютеров — На этом этапе на сервере WSUS создаются группы компьютеров. Любая группа, кроме группы «Не назначенные компьютеры», может содержать вложенные группы. Это новая функция версии WSUS 3.0.

3 Назначение компьютеров в группы со стороны клиента с помощью групповой политики — Перед выполнением этой операции необходимо создать группу компьютеров. Рекомендуется создать новый объект групповой политики, содержащий только параметры WSUS. Этот объект групповой политики необходимо связать с подходящим контейнером Active Directory. В простой среде можно связать один объект групповой политики WSUS с доменом.

4 Автоматическое одобрение установки обновлений — Администратор может установить правила для автоматического одобрения свежих обновлений сразу после их синхронизации. При таком одобрении могут учитываться классы обновлений, продукты и группы компьютеров. Кроме того, можно задать автоматическое одобрение новых редакций обновлений, автоматическое удаление устаревших обновлений и автоматическое одобрение обновлений WSUS. Все эти правила можно включить или выключить в любое время.

Разворачиваем WSUS на Windows Server RПервоначальная настройка WSUS. Настройка клиентов WSUS групповыми политиками.

Windows Server Update Services (WSUS) — сервер обновлений операционных систем и других продуктов Microsoft. WSUS позволяет централизованно управлять обновлениями программных продуктов MS Windows, Office и т.д.

Роль WSUS будет подниматься на Windows Server 2012 R2.

Установка роли сервера обновлений WSUS

В Server Manager (Диспетчер серверов) переходим в Tools (Управление) — Add Roles and Features Wizard (Добавить роли и компоненты). Выбираем роль Windows Server Update Services (Службы Windows Server Update Services) и добавляем все предлагаемые к установке компоненты.

В Features (Компоненты) отмечаем .NET Framework 3.5 Features. Данный компонент будет необходим для установки Microsoft Report Viewer 2008 SP1 Redistributable (Просмотр отчетов WSUS).

Выбираем тип базы данных, которую будет использовать WSUS:

  • WID (Windows Internal database) — встроенная база Windows (по-умолчанию база данных WID находится в %Windir%\wid\data\)
  • Database – использование локальной или внешней база данных (Microsoft SQL Server 2008 R2 SP1 Enterprise / Standard / Express Edition, Microsoft SQL Server 2012 Enterprise / Standard / Express Edition)

Указываем каталог, в котором будут хранится обновления (рекомендуется, чтобы на выбранном диске было не менее 6Gb свободного места).

После установки роли и компонентов WSUS, необходимо запустить выполнение после установочных задач. Нажимаем на флажок и щелкаем Launch Post-Installation tasks, дожидаемся окончания процедуры.

На этом роль и компоненты WSUS установлены. При первом запуске консоли WSUS автоматически запустится мастер настройки.

Настройка роли сервера обновлений WSUS

Выполним первоначальную настройку WSUS с помощью мастера. Первые два пункта информационные, поэтому их опускаем и переходим сразу к Choose Upstream Server (Выбор сервера синхронизации).

Выбираем вариант синхронизации:

  • Скачивать обновления напрямую с сайта Microsoft Update.
  • Скачивать обновления с вышестоящего WSUS сервера.

Если WSUS сервер смотрит в интернет через прокси-сервер, то необходимо указать параметры доступа к прокси-серверу.

Для проверки связи с выбранным вариантом синхронизации, нажимаем Start Connecting.

Указываем для каких языков WSUS необходимо скачивать обновления.

Указываем для каких продуктов, WSUS необходимо скачивать обновления.

Указываем типы обновлений, которые будут распространяться через WSUS. Рекомендуется обязательно указать: Critical Updates, Definition Updates, Security Packs.

Указываем расписание синхронизации обновлений.

В завершении можно инициализировать немедленную синхронизацию.

По завершении работы мастера, запустится оснастка WSUS.

Конфигурирование групповой политики для WSUS

Для централизованного распределения и поддержания в актуальном состоянии компьютеров в различных группах WSUS, воспользуемся групповыми политиками (Group Policy Management). Использование групповых политик (GPO) является наиболее распространенным и рекомендуемым подходом к управлению WSUS.

В настройках консоли WSUS, указываем правило распределения компьютеров по группам, через групповые политики (GPO). Переходим в OptionsComputers и выбираем Use Group Policy or registry setting on computers (Использовать на компьютерах групповую политику или параметры реестра).

Выполним конфигурирование групповой политики (GPO). Создаем объект GPO (прим. WorkstationWSUSPolicy). Редактируем параметры групповой политики (GPO). Переходим в раздел Computer Configuration -> Policies —> Administrative templates —> Windows Component —> Windows Update. Указываем следующие параметры:

Переходим в раздел Computer Configuration —> Policies —> Windows Setings —> Security Settings —> System Services. Находим службу Windows Update, задаем параметр Automatic.

Все эти условия групповой политики, обеспечат получение обновлений с инфраструктуры WSUS. Нацеливаем групповую политику (прим. WorkstationWSUSPolicy) на необходимые рабочие станции и через некоторое время в консоли WSUS появятся клиенты.

Чтобы протестировать клиент, в командной строке, выполним команду:

источник

Вместо итога

Собственно, на этом рассмотрение вопроса о настройке службы автоматического апдейта WSUS можно и закончить. Чтобы все заработало и не вызывало беспокойства у системного администратора в дальнейшем, следует обратить внимание на начальные условия, связанные с установкой дополнительных компонентов. Как считается, серверную версию ОС лучше использовать не 2003, а 2008 R2 или выше, а также обратить внимание на платформу .NET Framework четвертой версии, а не 2.0). Кроме того, особо внимательно следует отнестись к настройкам прокси и выбору портов, поскольку порт 80 по умолчанию может и не работать. Наконец, одним из самых важных аспектов настройки является выбор групп терминалов и устанавливаемых на них обновлений. В остальном же, как правило, проблем быть не должно, хотя при загрузке тяжеловесных апдейтов большого размера при плохом качестве связи кратковременные сбои и ошибки распределения обновлений по сети наблюдаться все-таки могут. Кстати, и чистить сервер время от времени тоже нужно. Если автоматический инструмент по каким-то причинам положительного эффекта не возымеет, можно попытаться хотя бы удалить временные файлы вручную из директории SDTemp. По крайней мере, даже такой тривиальный шаг позволит сразу же снизить нагрузку не только на сам сервер, но и на дочерние терминалы, и на сеть в целом.

Читайте также:  0xcoo4f074 как исправить ошибку Windows 10?